Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zyxel ZyWall USG 100 nach Firmware Update keine VPN Authentifizierung über AD mehr möglich

Mitglied: Gilneas

Gilneas (Level 1) - Jetzt verbinden

10.02.2010 um 08:47 Uhr, 11331 Aufrufe, 11 Kommentare

Folgendes Szenario:
Eine Zyxel ZyWall USG 100 ist das VPN Gateway für einige Außendienstler. Diese wählen sich per Windows VPN-Assi ein und authentifizieren sich mit ihrem Domainaccount, um ins Netz zu kommen. Installierte Firmware war 2.10(AQQ.3).

Ohne den Zeitpunkt genau nennen zu können hatten zwei User plötzlich das Problem, dass sie von der Zywall beim VPN Login abgewiesen wurden. Ich habe die Domainuser am PDC kopiert und siehe da, mit diesem kopierten Account konnten sich die User unter sonst gleichen Umständen wieder einloggen. Auf Anfrage beim Zyxel Support erhielt ich die Antwort, dass wir bitte auf eine aktuelle Firmware upgraden sollen, da die 10er nicht mehr unterstützt wird.

Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.

Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.



Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Mitglied: GuentherH
10.02.2010 um 08:55 Uhr
Hallo.

Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?

Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.

LG Günther
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 09:09 Uhr
Danke für den Hinweis...

Ist diese Struktur zu verschachtelt?

domain.local\business\users\group
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 11:11 Uhr
Ich habe es gerade mal mit sehr simplen Strukturen versucht. Leider ohne Erfolg.
Bitte warten ..
Mitglied: Gilneas
12.02.2010 um 13:14 Uhr
So, nun endlich eine Antwort vom Zyxel Support. Ich soll das Ding komplett zurücksetzen und die Config neu einspielen. Dann soll es wieder gehen...

Naja, das werd ich wohl oder übel noch testen müssen.
Bitte warten ..
Mitglied: sk
14.02.2010 um 09:59 Uhr
Hallo,

bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.

Gruß
Steffen
Bitte warten ..
Mitglied: Gilneas
15.02.2010 um 08:06 Uhr
Danke, erst versuch ich noch den Hint mit dem Reset, sollte das nicht funktionieren, dann scheint mir das tatsächlich eine gute Idee zu sein.
Bitte warten ..
Mitglied: Gilneas
22.02.2010 um 15:14 Uhr
So, inzwischen hat der ZyxelSupport seinen Rat widerrufen. Das zurücksetzen soll ich lassen.
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.

Als Tipp nehme ich mit (Aussagen des Supports):

Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Bitte warten ..
Mitglied: Gilneas
25.02.2010 um 15:02 Uhr
Kurzer Zwischenstand und sehr lustig:

Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.

Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 09:07 Uhr
Neuer Stand:
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.

Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Bitte warten ..
Mitglied: GuentherH
17.03.2010 um 19:53 Uhr
Hallo.

Danke für die Rückmeldung.

LG Günther
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 21:08 Uhr
Gerne, hab lange genug damit rumgetan. Leider war der Support keine große Hilfe.

Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort .

Erlaubte /funktionierende Sonderzeichen gibt es auch:

!
.
-
_

Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.

Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
Bitte warten ..
Ähnliche Inhalte
Firewall

ZyXEL ZyWALL USG 100 - Multinat möglich ?

Frage von uridium69Firewall6 Kommentare

Ich plane eine ZyXEL ZyWALL USG 100 zu erwerben, gebraucht, für mich ist es ein MUSS dass ich mehrere ...

Firewall

Zywall USGs Updaten

Frage von geocastFirewall15 Kommentare

Hallo Zusammen Ich bin gerade am Firewalls evaluieren. Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) ...

Firewall

Zyxel USG 100 Passwort ändern

Frage von basilinaFirewall11 Kommentare

Hallo Zusammen Ich habe eine Zyxel USG 100 Firewall und möchte die Login-Daten ändern. Mein Ex hatte das alles ...

Netzwerke

SSL-VPN Durchsatz mit ZyXEL USG 110 und USG 100 sehr gering

Frage von vanfeuchtsingNetzwerke53 Kommentare

Hallo Leute, ich eröffne dann mal mein zweites größeres Thema mit dem ich mich schon lange rumschlage Ich habe ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...